NeFut Logo NeFut
EN 管理员登录

[AI学术] Prismata:限制网页代理中的跨站点提示注入

发布于:2026-07-11 22:00 最后更新:2026-07-13 08:40
#algorithm #Open Source #Web Security

随着自主网页代理的兴起,浏览日常任务的自动化成为可能,但这也带来了网络上最古老的攻击面之一。跨站脚本攻击(Cross-Site Scripting)证明了混合可信与不可信内容的危险性,即使在无害页面上也是如此。网页代理通过将自然语言解释为指令,再次引发这一风险,允许第三方和用户生成的内容通过提示注入劫持代理。

核心挑战在于,推导特定任务的安全策略需要对页面结构进行推理,而这些结构与攻击者的内容交织在一起。为此,我们提出了Prismata,一种针对网页代理的防御机制,通过实施上下文最小特权,限制代理所看到的内容和可以执行的操作。Prismata的动态信任推导为页面内容生成权限标签,并提供结构性限制保证,灵感来源于经典完整性模型,确保任何标记错误的影响被限制在一定范围内,使标签的特权只能降低,误标记也被限制。

Prismata的机械限制通过编辑内容和限制代理能力来执行这些标签。值得注意的是,这些机制无需开发者干预,因此Prismata能够支持大量网站。在最近发布的网页代理攻击案例中,包括自适应变种,Prismata大幅降低了攻击成功率,同时保持了良好的任务效用。

博主点评: Prismata的设计通过动态信任推导和上下文最小特权的实现,有效应对了网页代理面临的安全挑战。其无需开发者干预的特性,极大提高了对各种网站的适用性,展示了在复杂网页环境中实现安全防护的创新思路。整体来看,Prismata为未来的网络安全提供了新的方向。

原文链接: https://arxiv.org/abs/2607.08147

[h] 返回首页